corCTF2022 Web

最新推荐文章于 2024-06-04 08:45:15 发布
最新推荐文章于 2024-06-04 08:45:15 发布
阅读量325 收藏
点赞数 1
分类专栏: WP 文章标签: 前端 javascript json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/not_code_god/article/details/126258600
版权

corCTF2022

文章目录

Web

jsonquiz.be.ax

js看源码找接口,修改传入的参数,默认不管你做题得了多少分都是传入0分,所以可以在最后一个选项的时候用burp抓包,然后修改score的值就能拿到flag

image-20220809232729977

image-20220809233306343

msfrog-generator

image-20220809234101500

尝试目录穿越得到报错回显,试了一下,不让读非图片的文件

image-20220809234205987

image-20220809234745397

可以看到使用反引号包裹的,尝试执行多条命令

image-20220809235004844

拿到flag

simplewaf

这是一道nodejs的题,源代码特别简单,就是一个简单的关键词过滤

const express = require("express");
const fs = require("fs");

const app = express();

const PORT = process.env.PORT || 3456;

app.use((req, res, next) => {
    if([req.body, req.headers, req.query].some(
        (item) => item && JSON.stringify(item).includes("flag")
        // 将
    )) {
        return res.send("bad hacker!");
    }
    next();
});

app.get("/", (req, res) => {
    try {
        res.setHeader("Content-Type", "text/html");
        res.send(fs.readFileSync(req.query.file || "index.html").toString());    
        // 传入一个参数file,通过fs.readFileSync函数读取文件,并返回渲染
    }
    catch(err) {
        console.log(err);
        res.status(500).send("Internal server error");
    }
});

app.listen(PORT, () => console.log(`web/simplewaf listening on port ${PORT}`));

image-20220810003301243

允许传入URL对象,URL对象会自动对参数进行url解码,再进行一次浏览器解码,所以可以通过传入url对象进行绕过,但是这里传入的参数是通过req.query.file参数进行解析的,只能允许传入字符串。但是可以通过数组的方式传入对象

分析一下fs.readFileSync函数

function readFileSync(path, options) {
  options = getOptions(options, { flag: 'r' });
  const isUserFd = isFd(path); // File descriptor ownership
  const fd = isUserFd ? path : fs.openSync(path, options.flag, 0o666);
    // 创建一个文件句柄,如果不是文件描述符就调用fs.openSync读取文件
  const stats = tryStatSync(fd, isUserFd);
  const size = isFileType(stats, S_IFREG) ? stats[8] : 0;
  let pos = 0;
  let buffer; // Single buffer with file data
  let buffers; // List for when size is unknown

  if (size === 0) {
    buffers = [];
  } else {
    buffer = tryCreateBuffer(size, fd, isUserFd);
  }

  let bytesRead;

  if (size !== 0) {
    do {
      bytesRead = tryReadSync(fd, isUserFd, buffer, pos, size - pos);
      pos += bytesRead;
    } while (bytesRead !== 0 && pos < size);
  } else {
    do {
      // The kernel lies about many files.
      // Go ahead and try to read some bytes.
      buffer = Buffer.allocUnsafe(8192);
      bytesRead = tryReadSync(fd, isUserFd, buffer, 0, 8192);
      if (bytesRead !== 0) {
        ArrayPrototypePush(buffers, buffer.slice(0, bytesRead));
      }
      pos += bytesRead;
    } while (bytesRead !== 0);
  }

  if (!isUserFd)
    fs.closeSync(fd);

  if (size === 0) {
    // Data was collected into the buffers list.
    buffer = Buffer.concat(buffers, pos);
  } else if (pos < size) {
    buffer = buffer.slice(0, pos);
  }

  if (options.encoding) buffer = buffer.toString(options.encoding);
  return buffer;
}

很显然会调用到fs.openSync(path, options.flag, 0o666)这里去,继续跟进

function openSync(path, flags, mode) {
  path = getValidatedPath(path);
    //检测url,跟进看看
  const flagsNumber = stringToFlags(flags);
  mode = parseFileMode(mode, 'mode', 0o666);

  const ctx = { path };
  const result = binding.open(pathModule.toNamespacedPath(path),
                              flagsNumber, mode,
                              undefined, ctx);
  handleErrorFromBinding(ctx);
  return result;
}

getValidatedPath

function getValidatedPath (fileURLOrPath) {
  const path = fileURLOrPath != null && fileURLOrPath.href && fileURLOrPath.origin
    ? fileURLToPath(fileURLOrPath)
    : fileURLOrPath
  return path
}

这里有个函数fileurltopath,看名字估计是将url对象转换为时间文件地址的功能,继续跟进

const fileURLToPath = (path) => {
  if (typeof path === 'string') {
    path = new URL(path)
  } else if (!isURLInstance(path)) {
    throw new ERR_INVALID_ARG_TYPE('path', ['string', 'URL'], path)
  }

  if (path.protocol !== 'file:') {
    throw new ERR_INVALID_URL_SCHEME('file')
  }
    //令path.protocol属性为file:

  return isWindows
    ? getPathFromURLWin32(path)
    : getPathFromURLPosix(path)
    //进入getPathFromURLPosix
}

const isURLInstance = (input) => {
  return input != null && input.href && input.origin
    //存在href和origin属性就返回真
}

跟进getPathFromURLPosix

const getPathFromURLPosix = (url) => {
  if (url.hostname !== '') {
    throw new ERR_INVALID_FILE_URL_HOST(process.platform)
  }
	//令path.hostname为空
  const pathname = url.pathname

  for (let n = 0; n < pathname.length; n++) {
    if (pathname[n] === '%') {
      const third = pathname.codePointAt(n + 2) | 0x20
      if (pathname[n + 1] === '2' && third === 102) {
        throw new ERR_INVALID_FILE_URL_PATH('must not include encoded / characters')
      }
    }
      //这里对pathname进行解码
  }

到这里就结束了,总结一下

protocol属性为file:

存在href和origin属性

hostname填url编码后的值

image-20220810010600914

本地复现成功

image-20220810010816892

数组传参,转对象,成功拿到flag

参考文章

https://nanimokangaeteinai.hateblo.jp/entry/2022/08/09/022238

Pysnow
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
vue中的uri_【file-uri-to-path】转换文件URI 为文件Path
weixin_39640203的博客
12-19 1051
file-uri-to-pathConvert a file: URI to a file pathAccepts a file: URI and returns a regular file path suitable for use with thefs module functions.InstallationInstall with npm:$ npm install file-uri-t...
[corctf 2022] 部分
weixin_52640415的博客
08-08 1002
corCTF 2022 部分WP
Arab Security Cyber Wargames 2022 Qualifications && corCTF 部分题解
weixin_51122085的博客
08-08 1627
ASCWQ 2022 && corCTF 2022 部分题解
vue3代码解读:alias: { ‘@‘: fileURLToPath(new URL(‘./src‘, import.meta.url)) }解释这段代码
最新发布
weixin_48420104的博客
06-04 664
这段代码是配置别名(alias)的一个例子,通常用于JavaScript模块打包工具或构建工具中,比如Webpack。别名允许你在模块路径中使用简短的别名而不是完整的路径。使用别名后,你可以在项目中的任何地方通过。来代替冗长的相对路径或绝对路径,使得路径更简洁,也方便维护。目录的完整文件系统路径。这样,开发者在引用模块时可以使用。综合来看,这段代码的作用是设置一个别名。时,它会被替换为当前模块目录下的。例如,如果当前模块的路径是。,而不需要写完整的路径。,当在模块路径中使用。
vue3 + vite + ts + setup , 第十三练 vue3 开发移动端,开发页面自适应
csl125的博客
07-10 2182
之前开发移动端常用的rem布局,或使用媒体查询,本文研究一下postcss-px-to-viewport的使用现在有了更好用的vw vhvw 视口的最大宽度,1vw等于视口宽度的百分之一vh 视口的最大高度,1vh等于视口高度的百分之一1、创建vue项目 2、安装postcss-px-to-viewport 依赖 3、因为vite中已经内联了postcss,所以并不需要额外的创建 postcss.config.js文件只需要在vite.config.ts配置postcss即可vite.config.
Node.js内置模块:fs、path、http
W2001r的博客
03-27 917
fs模块 /* *fs模块 */ const fs = require('fs');//导入fs模块 // err返回错误信息(成功:null) // datastr是文件里的数据(读取失败:undefined) // utf-8是默认编码形式(可省略) fs.readFile('1.txt', 'utf-8', function (err, dataStr) { if (err !== null) { console.log(err); return; } cons
【Exploit trick】针对 cred 结构的 cross cache 利用(corCTF 2022-cache-of-castaways)
panhewu9919的博客
11-07 1379
特殊cache(漏洞对象大小为512字节)中的6字节堆溢出,可以分配 `50*8` 个漏洞对象。构造 `cross-cache` 溢出,利用漏洞对象篡改相邻的 `cred` 对象。
node内置模块——Http模块、url模块、querystring小模块、escape/unescape
mantou_riji的博客
06-06 947
创建服务器 回调函数一般传递两个参数:监听端口号的内容,即监听对应浏览器页面的内容,行为,监听到了就执行回调函数中的内容 另一种写法: 将创建和处理内容分开写 res 属性——返回结果 res返回渲染的内容注意 : 传递的参数必须是。不能直接传递一个数据,如数组。直接传递数组,前端不能进行解析,但是前端可以解析传递的。eg: 01.server.js 终端启动 浏览器输出: :代表返回的状态码。eg:200代表成功,404代表失败。可以设置输入的编码属性。如果要输入中文要将编码格式设置为 eg:示例
小满Vue3第四十二章(环境变量)
qq1195566313的博客
08-19 7476
然后App.vue 输出 JSON.stringify(import.meta.env)我们就可以通过环境变量这个值 做一些事情比如 切花接口url 等。对象上暴露环境变量。这里有一些在所有情况下都可以使用的内建变量。在 package json 配置 --mode env文件名称。Vite 在一个特殊的 import.meta.env。在根目录新建env 文件 可以创建多个。如下 env.[name]...
2021-08-24 corCTF2021-devme 知识点:GraphQL,json
m0_51326092的博客
08-24 628
文章目录前言一、工具和使用网址二、具体payload总结 前言 最近去看了看国外的题目,给打蒙了,第一道最简单的不会做,唉o(╥﹏╥)o,是一道关于GraphQL的题目,以前完全没接触过啊,一开始找到了突破点,但是一直在burpsuit尝试,这是条错误的道路啊啊啊啊,后面才了解到需要GraphQL有自己的内省查询,可以使用它的工具,啊啊啊啊,活到老学到老。 一、工具和使用网址 Introspection-GraphQL 《解析 GraphQL 的查询语法》【译】 GraphiQL查询工具 YouTube
从 0 搭建 Vite 3 + Vue 2.7 前端工程化项目
油墨香^-^的博客
12-05 5273
Vue 2.7 正式版已经发布有一段时间了,但目前许多公司还没有升级 Vue 3 的打算(比如我),随着 Vite 脚手架注定成为下一代前端工具链,许多用户都想基于 Vite 来构建 Vue 项目,如果想基于 Vite 构建 Vue 3 项目,社区模板完全满足您的需求,如果想构建 Vite 3 + Vue 2 + JavaScript 项目,那社区模板不太能满足您的需求,因为社区模板提供 Vue 2 项目几乎是基于 Vite 2 + TypeScript 构建,对于不熟悉 TypeScript 语言的用户不
找不到模块“@/....”或其相应的类型声明。
热门推荐
yanhhhhhh的博客
09-28 1万+
@/ 找不到模块
ES_module 获取文件路径和文件所在目录
ldsbr1314520的博客
01-17 826
获取文件路径和文件所在目录
如何在使用 ES Modules 的 Node.js 应用中创建和使用 __dirname 和 __filename 这两个全局变量
于坤
04-25 473
在 Node.js 的 ES Modules (ESM) 环境中,传统的 CommonJS 全局变量__dirname和__filename不再直接可用。这是因为 ES Modules 采用不同的模块解析策略,更加符合 ECMAScript 标准。因此,如果在使用 ES Modules 格式编写 Node.js 代码,需要使用不同的方法来获取当前模块的文件路径和目录路径。这段代码演示了如何在使用 ES Modules 的 Node.js 应用中创建和使用__dirname和__filename。
Nodejs笔记 Nodejs url模块常用方法
林飞的梦呓
07-18 588
Nodejs URL模块 > var url = require('url'); > console.log( url ); { Url: [Function: Url], parse: [Function: urlParse], resolve: [Function: urlResolve], resolveObject: [Function: urlResolveObject], format: [Function: urlFormat], URL: [Functi
express搭建的nodejs项目使用webpack进行打包
qq_44886882的博客
08-15 7147
express搭建nodejs后台接口服务进行webpack打包流程和问题记录
vue3+ts+vite 路由详解
微光无限的博客
11-03 6008
vue3+ts+vite 路由详解
前端模块化的今生
01-16 246
背景 众所周知,早期 JavaScript 原生并不支持模块化,直到 2015 年,TC39 发布 ES6,其中有一个规范就是 ES modules(为了方便表述,后面统一简称 ESM)。但是在 ES6 规范提出前,就已经存在了一些模块化方案,比如 CommonJS(in Node.js)、AMD。ESM 与这些规范的共同点就是都支持导入(import)和导出(export)语法,只是其行为的关键...
vite+vue3+ts项目构建详细步骤(配置多语言版本)
失眠时间的博客
05-15 1万+
由于之前几乎都是使用Webpack 构建项目,偶尔使用了gulp。最近两年才开始使用Vue3开发项目,所以特意记录下Vite构建期间的使用方式。后续也会花时间写下webpack构建项目的文章,期待后期的更新~
DASCTF九月挑战赛复现-web
your_friends的博客
10-18 758
那么他就会直接将product合并到order原型链上那么他就可以直接添加token进入下面的判断语句了。可以发现在调用buyapi接口的时候直接将body作为实参传过去了,所以我们就可以控制product。那么我们只需要修改其中的分数,用它原来的方法对他进行一次发包就可以拿到flag。下面的代码可以看到只有当他的密码是截取的1到6位的时候才会获得9999块钱。e就是分数,t就是我们的checkcode我们直接在页面中对他进行调用。这里是可以直接传入URL的,URL会进行编码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pysnow

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值